Народ, помогите!
Имеется небольшая локалка, в ней W2003 Server выполняет роль DC. Он же через файрвол является шлюзом в интернет, на нем же установлен сервер администрирования Каспера. И тут же имеется расшаренный ресурс для пользователей домена, на котором лежит база 1С 7.7
Примерно с неделю назад началась такая муть:
периодически на каталоге (и соответсвенно на подчиненных) каталогах и файлах сбрасываются разрешения NTFS. Т.к. 1С работает по шаре, то доступ на шару "всем - изменение", разрешения NTFS установлены "пользователям домена - изменение".
И вот ежесуточно разрешения NTFS сбрасываются в "пользователям домена - только чтение".
Почему это началось и как с этим бороться ?

Почему это началось и как с этим бороться ? »
Проверьте на вирусы, загляните в журнал событий.

Вирусов нет. В жунале событий ничего странного или необычного нет.

пересоздать шару с нуля.
в целом я бы сделал так, создал группу - 1с допустим в нее пользоателей нужных...
к тому же более точно указал в разрешениях что можно что нельзя (включая просмотр permission's).
там же смотрим - какие права у системы и создателя.
логи аудита не включены?да и system логи какие, может что пишет, есть ли анонимные покдлючения?
а можно админ кит пригасить на время?

Про шару попробую.
Пользоватлей всего-то меньше десятка. все только для 1С, наверное нет смысла загонять их в отдельную группу.
В разрешениях указано довольно подробно.
У системы права полные, у создателя полный доступ. Пробовал выставлять для нее "НЕ полные" права, т.е. только "изменение". Но одновременно с изменениями прав для пользователей, у системы пояляются права ПОЛНЫЕ.
Логи аудита включены. Судя по логу безопасности, периодически случаются события с кодом 576. Где как раз и изменяются разрешения. После этого происходит событие входа в систему 540 и последующего выхода из системы 538. Указывается пользователь PLUS-1C$ (имя ПК: PLUS-1C), что это за пользователь такой?
В логах системы никакого криминала.
Анонимные подключения иногда бывают, но только вход и выход. Изменения прав проходят по событию 576 от имени системы.

http://msdn.microsoft.com/en-us/library/ms849065.aspx

Нет, дело не в этом. Чтото другое. Разрешения на перекрестную проверку есть.

а в целом вопрос такой всче в голове крутился, а обновления безопасности стоят?

Downkey, настройте аудит доступа к объектам и установите аудит для "Все" на пункт "Смена разрешений".
Если это делает какое-то приложение и\или пользователь - Вы это увидите... если не поможет - ставьте аудит на родительских каталог.

Обновления винды отключены.
Аудит включен, разрешения изменяет учетка SYSTEM.

В общем, разобрался. Виновата была самоделишная групповая политика.